Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

PKI(Public Key Infrastructure)

이 주제는 공용 핵심 인프라의 개요를 설명하며 다음 섹션을 포함합니다.

PKI 소개

PKI(Public Key Infrastructure)는 디지털 인증서를 사용하여 원격 사이트의 ID를 확인하는 방법을 제공합니다. PKI는 인증 기관(CA(certificate authority))을 사용하여 정보를 검증하고 사용자 정보나 서명을 수정할 수 없는 디지털 서명으로 서명합니다. 일단 서명하면 정보는 디지털 인증서가 됩니다. 디지털 인증서를 수신하는 장치는 공용 키 암호화를 사용하여 서명을 검증하여 인증서의 정보를 검증할 수 있습니다.

PKI(Public Key Infrastructure)는 디지털 인증서 관리를 위한 인프라를 제공하며 다음과 같은 구성으로 구성됩니다.

  • 엔티티의 ID를 RA 인증, 인증서 요청 인증, 고유 비대칭 키 쌍을 생성하는 등록 기관(RA)(사용자 인증서 요청에 이미 공용 키가 포함되어 있지 않는 한)

  • 인증서 기관(CA(certificate authority) 요청 기관에 해당 디지털 인증서를 발급합니다.

  • 더 이상 유효하지 않은 증명서를 식별하는 CRL(Certificate Revocation list) 각 엔티티는 각 CA(certificate authority) 인증 기관의 인증을 검증할 수 CA(certificate authority).

디지털 인증서

디지털 인증서는 온라인에서 교환된 데이터를 보호하기 위해 인증서 소유자의 ID를 검증하는 전자 파일입니다. 디지털 인증서는 인증 기관(CA(certificate authority))이라는 신뢰할 수 있는 타사를 통해 사용자를 인증하는 CA(certificate authority). 인증 CA(certificate authority) 소지자의 신원을 확인하고 증명서를 "서명"하여 변조 또는 변경되지 않았다는 증명서를 증명합니다. 또는 자동 서명 증명서를 사용하여 신원을 증명할 수 있습니다.

키 쌍은 디지털 인증서 구현의 중요한 요소입니다. 공용 키는 로컬 디지털 인증서에 포함하며, 전용 키는 동료로부터 수신된 데이터를 복호화하는 데 사용됩니다.

인증서의 수명은 정해진 수명을 가지며, 시작 시간 및 종료 시간으로 정의됩니다. 수명이 만료되면 증명서가 무효화됩니다. 증명서가 만료되면 인증서 갱신 또는 새 인증서 요청이 필요합니다.

인증 기관

CA(certificate authority) 생성, 등록, 검증 및 디지털 인증서를 취소하는 신뢰할 수 있는 타사 조직입니다. 이 CA(certificate authority) 사용자 ID를 보장하고 메시지 암호화 및 복호화(코딩 및 디코딩)에 대해 공용 및 전용 키를 문제를 해결합니다. 또한 CA(certificate authority) 취소된 인증서 목록인 CRCL(Certificate Revocation List)을 생성합니다.

프라이빗/공용 키 페어

PKI를 설정할 때 쌍으로 생성되어 수학적으로 연결되는 공용 및 전용 키를 포함해야 합니다.

증명서 등록 요청 시, 인증서 등록 요청에 공용 키를 포함해야 합니다. 공용 키는 부여된 인증서에 포함될 수 있으며 개인 키는 요청 장비에 보관됩니다. 공용 키로 암호화된 메시지는 해당 전용 키를 사용하여 복호화할 수 있습니다. 프라이빗-공용 키 쌍은 디지털 서명 생성에도 사용됩니다.

인증서 등록 옵션

온라인 또는 수동으로 CA(certificate authority) 디지털 인증서를 요청할 수 있습니다.

  • 수동 인증서 등록—이 프로세스에는 PKCS10 요청 생성, 인증서 기관에 제출(CA(certificate authority)), 서명된 인증서 검색, Junos OS 로컬 인증서로 인증서를 수동으로 로드하는 과정이 포함됩니다.

  • 온라인 인증서 등록—인증 관리 프로토콜 버전 2(CMPv2) 또는 SCEP(Simple Certificate Enrollment Protocol)를 사용하여 온라인 인증서 등록을 할 수 있습니다.

인증서 해지 옵션

  • 인증서 취소 목록(또는 CRL)—CA(certificate authority)(Certificate Authority)는 CRL(Certificate revocation list)을 사용하여 취소된 인증서 목록을 주기적으로 게시합니다. CRL에는 만료일 이전 취소된 시리얼 번호가 포함된 디지털 인증서 목록이 포함되어 있습니다.

  • OCSP(Online Certificate Status Protocol)—OCSP는 X509 인증서의 해지 상태를 검사하는 데 사용됩니다. OCSP는 인증서에 대한 해지 상태를 실시간으로 제공하며 은행 거래 및 주식 거래와 같이 시기에 민감한 상황에서 유용합니다.

인증서 요청 유형

PKI(Public Key Infrastructure)를 통해 사용자가 발행한 디지털 인증서를 사용하여 서로를 인증할 수 CA(certificate authority). PKI는 PKCS(Public Key Cryptography Standards)인 X.509를 사용하여 인증서 및 사용에 대한 표준 형식을 정의합니다. PKI에서 지원자는 CSR(Certificate Signing Request)을 사용하여 인증서 기관(CA(certificate authority))에 디지털 인증서를 신청합니다. 요청은 표준 중 하나에 있을 수 있습니다.

  • PKCS#(Public-Key 암호화 표준#) (PKCS7, PKCS10, PKCS11, PKCS12)

  • x509-signaturere.

인증서 서명 및 검증

디지털 인증서는 인증 기관(CA(certificate authority))으로 알려진 신뢰할 수 있는 타사를 통해 신원을 확인하는 전자 CA(certificate authority). 또는 자동 서명 증명서를 사용하여 신원을 증명할 수 있습니다.

사용하는 CA(certificate authority) 서버는 독립 기관 또는 CA(certificate authority) 조직에 의해 소유 및 운영될 수 있으며, CA(certificate authority). 독립 기관을 사용하는 CA(certificate authority) 경우, 해당 서버의 CA(certificate authority) CRL(certificates and certificate revocation list) 서버 주소와 개인 인증서 요청 제출 시 필요한 정보를 문의해야 합니다. 개인 사용자일 경우 CA(certificate authority) 정보를 직접 확인할 수 있습니다.

증명서 CA(certificate authority) 해시 알고리즘을 사용하여 다이제스트를 생성한 다음 해당 개인 키로 다이제스트를 암호화하여 증명서에 "서명"합니다. 그 결과 디지털 서명이 나타날 수 있습니다. 그러면 CA(certificate authority) 서명한 인증서를 요청한 사람이 다운로드할 수 있도록 합니다. 그림 1 이 프로세스를 보여 주는 것입니다.

인증서 수신자는 동일한 해시 알고리즘을 인증서 파일에 적용하여 또 다른 digest를 생성한 다음 CA(certificate authority) 키를 사용하여 디지털 서명을 복호화합니다. 복호화된 다이제스트를 방금 생성된 다이제스트와 비교하면 수신자는 서명의 CA(certificate authority), 확장을 통해 첨부된 인증서의 무결성을 확인할 수 있습니다. 그림 1 이 프로세스를 보여 주는 것입니다.

디지털 서명을 검증하고 증명서 일련 번호가 인증서 해지 목록에 없는 경우 증명서가 유효한 것으로 간주됩니다.

그림 1: 디지털 서명 검증디지털 서명 검증

DSA(Digital Signature Algorithm) 시그니처가 사용될 경우 SHA-1 해시 알고리즘이 Digest를 생성하는 데 사용됩니다. Rivest-Shamir-Adleman(RSA) 시그니처를 사용하는 경우, SHA-1은 다이제스트를 생성하는 데 사용되는 기본 해시 알고리즘입니다. 또는 명령 옵션을 사용하여 SHA-256 해시 digestrequest security pki generate-certificate-request 알고리즘을 지정할 request security pki local-certificate generate-self-signed 수 있습니다. ECDSA(Elliptic Curve Digital Signature Algorithm) 시그니처를 사용하는 경우, SHA-256 해시 알고리즘은 ECDSA-256 서명에 사용하며, SHA-384 해시 알고리즘은 ECDSA-384 시그니처에 사용됩니다.

릴리스 Junos OS 18.1R3 자동 생성 PKI 인증서를 검증하는 데 사용되는 기본 암호화 알고리즘은 Secure Hash Algorithm 256(SHA-256)입니다. Release Junos OS 이전에는 SHA-18.1R3 기본 암호화 알고리즘으로 사용됩니다.

인증서 검증

인증서의 신뢰성을 확인하려면 로컬 인증서를 발행한 인증 받은 CAS(Certificate Authorities)의 경로를 추적하여 CA(certificate authority) 수 있어야 합니다. PKI(Public Key Infrastructure)는 공용 키 암호화를 성공적으로 구현하기 위해 필요한 계층형 신뢰 구조를 말합니다.

그림 2 여러 계층 레벨을 사용하는 단일 도메인 인증서 기관의 구조를 보여줍니다.

그림 2: PKI 신뢰 계층—CA(certificate authority) 도메인PKI 신뢰 계층—CA(certificate authority) 도메인

증명서가 조직 내에서만 사용되는 경우, 해당 기업은 해당 CA(certificate authority) 문제를 해결하고 직원을 위한 인증서를 검증하는 자체 CA(certificate authority) 도메인을 소유할 수 있습니다. 이후 조직에서 직원들이 다른 CA(certificate authority) 도메인의 증명서와 인증서를 교환하기를 원할 경우(예: 자체 CA(certificate authority) 도메인을 보유하고 있는 다른 조직에 있는 직원과 함께) 두 CAS는 상호 인증을 개발할 수 있습니다. 이 경우 PKI 구조는 수직적으로 확장되는 것이 아니라 수평으로 확장됩니다. 을 그림 3 참조합니다.

그림 3: 교차 인증교차 인증
출시 내역 표
릴리스
설명
18.1R3
릴리스 Junos OS 18.1R3 자동 생성 PKI 인증서를 검증하는 데 사용되는 기본 암호화 알고리즘은 Secure Hash Algorithm 256(SHA-256)입니다. Release Junos OS 이전에는 SHA-18.1R3 기본 암호화 알고리즘으로 사용됩니다.